Share via


Korai indítású kártevőirtó (ELAM) és Microsoft Defender víruskereső

Érintett szolgáltatás:

Platformok:

  • Windows 11, Windows 10, Windows 8.1, Windows 8
  • Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

A rendszerindítási ciklus elején induló kártevők észlelése kihívást jelentett a Windows 8 előtt. 2012 augusztusában Microsoft Defender víruskereső (MDAV) Windows 8 vagy újabb verzióhoz, és Windows Server 2012 és később beépített egy új funkciót, az Early Launch Antimalware (ELAM) illesztőprogramot. Az ELAM a korai rendszerindítási fenyegetésekkel (például a rootkitekkel vagy az észlelés elől elrejthető rosszindulatú illesztőprogramokkal) egy olyan Wdboot.sys illesztőprogram használatával küzd, amely más rendszerindítási illesztőprogramok előtt indul el. Az ELAM lehetővé teszi más illesztőprogramok kiértékelését, és segít a Windows kernelnek eldönteni, hogy ezeket az illesztőprogramokat inicializálni kell-e.

Hol vannak naplózva az ELAM-észlelések?

Az ELAM észlelése ugyanabban a helyen van naplózva, mint a többi Microsoft Defender víruskereső fenyegetés, például az 1006-os eseményazonosító.

Hogyan naprakészen tartani az MDAV ELAM-illesztőt?

Az MDAV ELAM-illesztő a havi "Platformfrissítést" használja.

Módosítható a Korai indítású kártevőirtó (ELAM) szabályzat?

Az ELAM itt módosítható:

Számítógép konfigurációja>Felügyeleti sablonok>Rendszer>Korai indítású kártevőirtó

Hogyan ellenőrizhetem, hogy az MDAV ELAM-illesztőprogram be van-e töltve?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\EarlyLaunch BackupPath (karakterlánc) C:\Windows\ELAMBKUP\WdBoot.sys (érték)

Hogyan állítsa vissza az MDAV ELAM-illesztőt egy korábbi verzióra?

C:\ProgramData\Microsoft\Windows Defender\Platform<antimalware platform version>\MpCmdRun.exe -RevertPlatform.

Például:

C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24010.12-0\MpCmdRun.exe -RevertPlatform